윈도우의 도움말 및 지원센터 제로데이 바카라 레전드 취약점 주의
안녕하세요? 이스트소프트 바카라 레전드대응팀입니다.
윈도우의 도움말 및 지원센터(Help and Support Center)에서 원격코드 실행이 가능한 바카라 레전드 취약점이 발견되었습니다. 현재 Microsoft 사에서 제공되는 공식적인 바카라 레전드 패치가 없는 제로데이 상태이며, 이번 취약점을 악용한 악성코드가 출현할 수 있으므로 PC 사용자들의 주의가 필요합니다. 또한, 출처가 불명하거나 수상한 파일은 절대로 열지 말고 삭제하며 알약의 실시간 감시를 반드시 활성화시켜둡니다.
[취약 제품 버전]
Windows XP Service Pack 2~3 (x86, x64 CPU 환경 포함)Windows 2003 (x86, x64, itanium CPU 환경 포함)
※ Windows 2000, Vista, 2008, 7는 이번 취약점에서 해당되지 않는 OS입니다.취약점 : CVE-2010-1885
[상세정보]
윈도우의 도움말 및 지원센터(Help and Support Center) helpctr.exe에서 UrlUnescape 함수는 -FromHCP 옵션을 사용한 화이트리스트 제한을 건너 뛸 수 있는(bypass) 취약점이 존재합니다.이외에도 sysinfo/sysinfomain.htm에서 XSS(Cross Site Scriprting) 취약점도 존재하여 privileged zone에서 악성 스크립트 코드를 실행할 수 있습니다.
[임시 조치법]
HCP Protocol 레지스트리 등록을 해제하는 작업을 수행해야합니다.
① 명령 프롬프트(cmd.exe)나 시작 메뉴의 "실행"에서 아래의 명령어를 실행해 HCP Protocol 레지스트리를 백업해둡니다.Regedit.exe /e HCP_Protocol_Backup.reg HKEY_CLASSES_ROOT\HCP
② 메모장에서 아래 내용을 입력한 후 파일 이름 + .reg 확장자로 저장합니다.예를 들어, Disable_HCP_Protocol.reg 이름으로 저장 Windows Registry Editor Version 5.00[-HKEY_CLASSES_ROOT\HCP]
③ 메모장 입력 후 저장한 레지스트리 값을 적용합니다.Regedit.exe /s Disable_HCP_Protocol.reg
※ HCP Protocol의 복원 방법백업한 HCP Protocol 레지스트리 파일을 이용해 복원을 진행합니다.Regedit.exe /s HCP_Protocol_Backup.reg을 실행합니다.
[참고 사이트]